首页
社区
课程
招聘
[原创]取证分析之逆向服务器提权开启3389远程连接工具
发表于: 2018-10-12 09:22 6898

[原创]取证分析之逆向服务器提权开启3389远程连接工具

2018-10-12 09:22
6898

通常用作黑客攻击网站拿到服务器Webshell提升站点服务器权限后,对站点和数据库服务器两台服务器分离的情况,延申权限到数据库服务器。开启数据库服务器的3389远程连接。

MD5值:58946C2FE49563591EBE0D61F457DE0A

大小:178 KB (182,526 字节)

病毒家族名:Virus.Win32.Parite.a

分析黑客小工具是怎么实现的,分析行为提取特征。

作用是开启3389端口

添加用户

1)查壳

2)导入表信息

逆向这类几百KB的程序是很轻松的,通常病毒文件并不大。单步调试也没有几次就跟踪到Main()函数了。

RegSetValueEx:有名称值的数据和类型时设置指定值的数据和类型。

RegSetCloseKey:关闭注册表句柄

不知道是加了什么壳,XOR循环解密后续的汇编代码。

跳过加载程序的的流程。新建账户、注册表修改流程都在一个函数中。看出来作者已经将函数封装好,只需要传值进去实现相对应的功能。

建立用户和建立用户组都是封装了同一个函数call 00401280,使用CreateProcess函数执行了增加用户、添加用户到管理组的命令。

修改注册表,使用RegSetValueEx修改了HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections的值为0

VC6+Win7(x86)

附件程序运行会开启3389远程连接,还有新建管理组用户admin
3389.exe是原版程序

 
 

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2018-10-17 17:22 被lipss编辑 ,原因: 修正标题
上传的附件:
收藏
免费 1
支持
分享
打赏 + 1.00雪花
打赏次数 1 雪花 + 1.00
 
赞赏  junkboy   +1.00 2018/10/13
最新回复 (9)
雪    币: 14
活跃值: (73)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
2
程序被感染啦
2018-10-12 12:56
0
雪    币: 2359
活跃值: (343)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
请问你用的什么分析呢?还有动作详细信息!
2018-10-13 21:21
0
雪    币: 37
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ccj
4
是啊,这个监控行为的工具不错,能不能说一下名字。
2018-10-13 22:02
0
雪    币: 42
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
ccj 是啊,这个监控行为的工具不错,能不能说一下名字。
火绒剑
2018-10-15 01:10
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
。。
2018-10-17 20:00
0
雪    币: 4634
活跃值: (936)
能力值: ( LV13,RANK:350 )
在线值:
发帖
回帖
粉丝
7
Malware Defender、火绒剑、ProcessMonitor都可以做到。:)
2018-10-17 23:22
0
雪    币: 8121
活跃值: (4061)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
学习了,谢谢分享
2018-10-21 20:22
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
学习 了 谢谢 你了
2018-11-6 08:22
0
雪    币: 147
活跃值: (42)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
感谢分享
2018-11-6 10:38
0
游客
登录 | 注册 方可回帖
返回
//